Análisis forense de código y procesos de la aplicación Ubidesk de la empresa UBORATECH

https://repositorio.puce.edu.ec/handle/123456789/44585
Authors
No Thumbnail Available
Files
VILAÑEZ ORDOÑEZ BRYAN ANDERSON.pdf (2.24 MB)
Date
2024
Journal Title
Journal ISSN
Volume Title
Publisher
PUCE - Ibarra
Abstract
El análisis forense de la aplicación Ubidesk de Uboratech se realizó con el objetivo de identificar y mitigar vulnerabilidades de seguridad, asegurar la integridad del código y los procesos, y garantizar la confidencialidad y disponibilidad de los datos. La metodología empleada incluyó varias fases: recolección de información, análisis estático y dinámico de código, revisión de registros, pruebas de penetración, y evaluación de políticas y procedimientos de seguridad. En la fase de recolección de información, se obtuvo el código fuente, documentación técnica, registros de actividad y bases de datos. El análisis estático reveló vulnerabilidades como inyecciones de código y malas prácticas de programación. En el análisis dinámico, se monitoreó el comportamiento de la aplicación en un entorno controlado, identificando patrones de uso anómalos y tráfico de red sospechoso, finalmente, la evaluación de políticas y procedimientos de seguridad reveló áreas de mejora en las prácticas de Uboratech. Los resultados mostraron varias vulnerabilidades críticas en el código fuente, errores de implementación que podrían causar fallos y anomalías en los registros que sugieren intentos de acceso no autorizado. Se propusieron recomendaciones como la implementación de validaciones de entrada más estrictas, el uso de cifrado fuerte y la revisión periódica de los registros. En conclusión, el análisis forense permitió identificar y mitigar vulnerabilidades críticas y debilidades en la arquitectura mejorando significativamente la seguridad y eficiencia de la aplicación. Por lo tanto, Uboratech debe implementar las recomendaciones y continuar revisando periódicamente la seguridad de Ubidesk, siguiendo las mejores prácticas de la industria para mantener la integridad y confiabilidad de la aplicación y proteger los datos de los usuarios contra posibles amenazas.
The forensic analysis of Uboratech's Ubidesk application was conducted with the aim of identifying and mitigating security vulnerabilities, ensuring the integrity of the code and processes, and guaranteeing the confidentiality and availability of data. The methodology employed included several phases: information gathering, static and dynamic code analysis, log review, penetration testing, and evaluation of security policies and procedures. In the information gathering phase, the source code, technical documentation, activity logs, and databases were obtained. The static analysis revealed vulnerabilities such as code injections and poor programming practices. In the dynamic analysis, the application's behavior was monitored in a controlled environment, identifying anomalous usage patterns and suspicious network traffic. Finally, the evaluation of security policies and procedures revealed areas for improvement in Uboratech's practices. The results showed several critical vulnerabilities in the source code, implementation errors that could cause failures, and anomalies in the logs suggesting unauthorized access attempts. Recommendations included the implementation of stricter input validations, the use of strong encryption, and periodic log reviews. In conclusion, the forensic analysis allowed for the identification and mitigation of critical vulnerabilities and weaknesses in the architecture, significantly improving the security and efficiency of the application. Therefore, Uboratech should implement the recommendations and continue to periodically review the security of Ubidesk, following industry best practices to maintain the integrity and reliability of the application and protect user data against potential threats.
Description
Keywords
Análisis forense de código, Vulnerabilidades de seguridad, Análisis estático de código, Mitigación de vulnerabilidades, Ubidesk
Citation
Collections
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
Full item page